ID連携・活用ソリューション 「Uni-ID」をバージョンアップ~次世代ID連携技術「OAuth 2.0」と「OpenID Connect」に準拠~ | 野村総合研究所(NRI)
ID連携・活用ソリューション 「Uni-ID」をバージョンアップ ~次世代ID連携技術「OAuth 2.0」と「OpenID Connect」に準拠~ 2011年12月1日 株式会社野村総合研究所 株式会社野村総合研究所(本社:東京都千代田区、代表取締役社長:嶋本 正、以下「NRI」)は、ユーザーのID情報を活用し各種サービスを連携するためのソリューション「Uni-ID(ユニアイディー)」の新バージョンの販売を、12月1日から開始します。 今回のバージョンアップのポイントは、サービス認可の仕様である「OAuth 2.0※1」と、ID連携仕様である「OpenID Connect※2」に対応した点です。インターネットを活用するサービス事業者は、自社のサービスに「Uni-ID」を導入することで、「OAuth 2.0」「OpenID Connect」に対応したID/サービス連携基盤を、既存のIT資
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
OpenID Connectを実装するためのOAuth 2.0拡張 - r-weblife
こんばんは、ritouです。 7/8にmixiで行われたidcon #9でOpenID Connectの仕様を紹介させていただきました。 The Latest Specs of OpenID Connect at #idcon 9 私の力不足により、OpenID Connectを「よくわからん」「難しそうだ」と思われたかもしれませんので、ブログで少しずつリベンジしていこうかと思います。 idconではいくつかの機能を紹介しました。 今回は、"OpenID Connect HTTP Redirect Binding"の仕様に書かれている、"OAuth 2.0への追加実装"について整理します。 OpenID Connect HTTP Redirect Binding Spec obsoleted by openid-connect-standard-1_0 "OpenID Connect HT
idcon9レポート - mad-pの日記
7/8に渋谷mixi本社で行われたidcon9に行ってきました。発表者さんの資料へのリンクはATND記事にあります。 広くてキレイな会場です。参加者も前回、前々回よりぐっと増えました。 本題ではやっぱり話についていけなかった部分があるので、間違いもあると思いますがメモを貼っておきます。なんかおかしいぞ、と思ったら発表者さんの資料を確認してください〜。 自分がその場で理解できるところより上の話を聞くとやはり面白いです。idconはいつもいつもついていけてない感じですが、やっぱり面白い。懇親会も時間を忘れて話し込んじゃいました。 司会まつおかさんのあいさつ idcon自体は3〜4年前に崎村さんとか工藤さんとか山口さんが勉強会としてスタート。 最初は10人。最近まで10人〜20人規模だった。 今回はmixiさんから会場のオファーがあったということで、規模を大きくしてみた。 懇親会ではATNDで募
本当に知ってる?最低限押さえたいOAuthのマナー|【Tech総研】
前回は、Webサービスやアプリを使っているとよく見かける「許可」ボタンについて、ユーザーの立場に立って解説をしました。「許可」ボタンは、ユーザーが情報を預けているサービス(SNS等)とは別の第三者(アプリ)が、ユーザーの情報を見たり、書き換えたりするために、ユーザーに事前に「許可」を取るためのものでしたね。そして個人情報を収集するスパムアプリの被害を受けないために、ユーザーが「許可」ボタンを押してよいアプリかどうかを判断する方法を3ステップでご紹介しました。 「許可」の仕組みは技術的には「OAuth」(オーオース)と呼ばれ、特にWeb系の開発者にはご存じの方も多いと思います。OAuthは処理を代行してくれるライブラリ等が充実していて、簡単に「動かす」ことができます。しかしOAuth利用の前提となるマナーを理解していないために、知らず知らずのうちにユーザーの信頼を失いかねない行為をしてしまう
OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife
おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 (2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone Thread Safe: The problem with OAuth for Authentication. 今回は以下の内容について整理したいと思います。 OAuth 2.0のどの機能にセキュリティホールがあるのか 誰が攻撃者になれるのか 対策 OAuth 2.0 Implicit Flowとは OAuth 2.0ではサードパーティーアプリケーションが保護リソースへのアクセス権限を得るためのいくつかのフローが定義されています。 (仕様中ではFlowやGrant Type
OAuth 2.0やOpenIDの最新動向に追いつくために勉強したことまとめ。 - hsksnote
OAuthやOpenID、仕組みもよく知らずに使ってきた僕が、その最新動向に追いつくために勉強したことをまとめます。 きっかけは OpenID TechNight #7 をUstで見たことで、わからないことが山盛りだったので色々と調べてみた。 OpenID TechNight #7 : ATND 各発表のスライドへのリンクがあるよ。 キーワードとしては、OAuth 2.0、OpenID Connect、Cloud Identity、RESTful API、といったあたりについて。それぞれ基本的なことと、Ustで話されてたことをまとめる。 OAuth 2.0 OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT を先に読めばよかった。 簡単にまとめると、OAuth 1.0の問題点は3つあって。 認証と署名のプロセスが複雑 Webアプリケーション以外の利用が考慮されて
OAuth 2.0 Updates #technight
Presentation about OAuth 2.0 latest spec updates (draft 20) at OpenID TechNight #7 in Tokyo
The OAuth 2.0 Authorization Protocol: Bearer Tokens (日本語)
The OAuth 2.0 Authorization Protocol: Bearer Tokens (日本語) draft-ietf-oauth-v2-bearer-11 Abstract この仕様書は, OAuth 2.0の保護リソースへアクセスするために, 署名無しトークンをHTTPリクエスト中でどのように利用するか記述したものである. 署名無しトークンを所有する任意のパーティ (持参人) は, 認可済みリソースへアクセスするために署名無しトークンを利用できる (暗号鍵の所有を示す必要はない). 誤った利用を避けるために, 署名無しトークンは保存場所や流通経路での値の露見から守られなければならない (MUST). Status of this Memo This Internet-Draft is submitted in full conformance with the pro
The OAuth 2.0 Authorization Protocol
The OAuth 2.0 Authorization Protocol draft-ietf-oauth-v2-22 Abstract OAuth 2.0 は, サードパーティーアプリケーションがHTTPで提供されるサービスとリソースオーナー間に同意の調整を行うか, もしくはサードパーティーアプリケーション自身のためにアクセスすることを自ら許可することによって, サービスへの限定されたアクセス権を得ることを可能にする認可プロトコルである. 本仕様書はRFC 5849に記載されているOAuth 1.0 プロトコルを廃止し, その代替となるものである. Status of this Memo This Internet-Draft is submitted in full conformance with the provisions of BCP 78 and BCP 79. Intern
OAuth.jp
いままで Mix-up Attack は Client が AS 毎に redirect_uri を使い分けていれば防げると信じられてきましたが、それじゃ防げないケースもあるよってのが OAuth ML に投稿されました。 細かい解説は英語読んでもらうとして、シーケンスにするとこういうことです。 Attacker AS が (Display Name やロゴ等を通じて) 一見 Honest Client に見えるような Client (Attacker Client) を Honest AS に登録しておく必要があります。 User が Attacker AS 選んでるのに Honest AS に飛んで Approve してしまってる部分も、Attacker Proxy が利用可能な状況 (e.g., Client が HTTP なエンドポイントで Honest AS のログインボタン等を
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
